Big Sur hebelt Firewalls aus, um Daten an Apple zu senden

Das nach Hause telefonieren lässt sich offenbar nicht mehr unterbinden.

Diverse Fachleute machten sich auf die Suche nach den Gründen, warum es nach einer Apple Server Panne nicht mehr möglich war seinen Mac zu benutzen und fanden heraus, dass der Prozess trustd eine Verbindung zu dem genannten OCSP-Server aufbauen will - und immer wieder daran scheitert.

OCSP steht dabei für Online Certificate Status Protocol. Trustd überprüft auf diesen Servern digitale Zertifikate von Apple Programmen und Webseiten. Mit der Einführung von Gatekeeper 2012 überprüft das System bei jedem Programm die Code-Signierung auf dem OCSP-Server. Für die Nutzer wird diese Überprüfung bei nicht zertifizierten Programmen zum Beispiel durch einen Dialog sichtbar. Er weist sie darauf hin, dass sie ein Programm "aus dem Internet" heruntergeladen haben und ob sie wirklich öffnen wollen.

Experten ermittelten, warum die Apps nicht einfach einen "soft fail" durchführen - also die App auch ohne Zertifikat validieren, als ob keine Netzwerkverbindung vorhanden wäre. Das lag anscheinend daran, dass die Geräte eine funktionierende Netzwerkverbindung erkannten. Also gaben sie die Verbindungsversuche nicht mit einem soft fail auf, und dem Nutzer die Apps, Dienste und Geräte nicht frei. Der Absturz des OCSP-Servers zeigte deutlich, wie viele Geräte und Dienste mit ihm kommunizieren.

Bild: @lapcatsoftware/Twitter

Andere Spezialisten wiederum wurden an anderer Stelle stutzig: Ihre Apps lahmten, obwohl sie Apples Zugriff per Netzwerkfilter verboten hatten. Sicherheitsexperte Patrick Wardle kam der Sache auf die Spur: In Big Sur existiert eine neue "ContentFilterExclusionList". In dieser "Ausführungsliste der Inhaltsfilter" findet sich auch der Prozess trustd, der das Chaos angestellt hatte. Und was in dieser Liste steht, lässt sich nicht blockieren. Das heißt: Apple hat Routinen entwickelt, die absichtlich die eigenen Kommunikationskanäle vor dem Blocken durch Firewalls und Netzwerkfilter schützt. Prozesse auf Betriebssystemebene lassen sich nicht mehr über Tools wie Little Snitch einschränken. Apple-Anwendungen können Limitierungen von VPN einfach umgehen. Wardle stellt dar, dass etwa CommCenter (Mac-Telefonfunktionen) und Apple Maps an der Firewall/VPN vorbeikommunizieren.

Bild: Patrick Wardle

Sicherheitsexperte Jeffrey Paul äußert unter dem Titel "Dein Computer gehört dir nicht mehr" massive Sorgen. Über die IP ließen sich Schlüsse auf Datum, Uhrzeit, Computer, Internetprovider, Stadt, Bundesland und den Antrags-Hash selbst erzielen. Das bedeutet, Apple wüsste, wann man zu Hause ist, wann bei der Arbeit; welche Apps man wo öffnet und wie oft. Das gelte jedoch auch für Querverweise: So wüsste Apple, ob man Adobe Premiere im Haus eines Freundes nutzt und über dessen WLAN freigibt oder in welchem Hotel man wann den Tor-Browser geöffnet hat. Jeder könne die Hashes für gängige Programme berechnen, die OCSP-Anfragen würden zudem unverschlüsselt übertragen.

via

Autor schreiben

Kurze URL:

Currently 3.10/5
1
2
3
4
5

Bewertung: 3.1/5 (10 Stimmen)

Das k�nnte Dich auch interessieren:

Edge 40 Neo: Motorola bringt farbiges Smartphone mit schnellem Display
Das Motorola Edge 40 Neo kommt in speziellen Pantone-Farben, hat ein 144-Hz-Display und ist vor Wasser und Staub gesch�tzt.

Erster PC-Monitor mit farbigem E-Ink-Display vorgestellt
Das Unternehmen Dasung hat einen Computermonitor mit farbigem E-Ink-Panel vorstellt: den Paperlike Color.

�hnliche News:

Gl�ubigerschutzverband soll Ausl�nder um Millionenbetr�ge in die Irre f�hren
Hacker griff Gl�ubigerdaten von FTX, Blockfi und Genesis ab
Einigung auf Data Act der EU f�r Big-Tech-Unternehmen
Max Schrems warnt: "Irische Regierung stellt Kritik an Big Tech und DPC unter Strafe"
Microsoft bekommt "Big Brother"-Award f�r sein "Lebenswerk" Office 365
Neue farbige E-Ink-Displays sollen mit LCDs mithalten k�nnen
US Air Force schickt die "Big Sexy" in Pension
Netzpolitik 2023: E-ID, Chatkontrolle und striktere Regeln f�r Big Tech
Krypto-Miner Core Scientific ist pleite und nimmt Gl�ubigerschutz in Anspruch
Europol wird zur Big-Data-Polizei

Weitere News:

Amazon-F�hrungskr�fte zerst�ren angeblich Beweise via Signal
Apple will v�llig neue Art von Chips bauen
MS-DOS 4.00 ist jetzt Open Source
Pura 70: Huaweis neues Smartphone kommt wieder mit 7-nm-Chip
Bastler baut Radio-Cartridge f�r den Game Boy
So sicher sind 8-Zeichen-Passw�rter in 2024
Handykamera k�nnte Schlaganf�lle verhindern
Google verst��t gegen Gesetz zum K�ndigungsbutton
EU-Parlament stimmt f�r Austausch sicherheitsrelevanter Passagierdaten
Samsung Galaxy Unpacked: Launchtermin nun wohl geleakt

Einen Kommentar schreiben

Kommentare

(4)

Bitte bleibe sachlich und fair in deinen �u�erungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.

Kommentare:

Leider hast du das Java-Plugin deaktiviert...
Die Kommentarfunktion brauch das Java Plugin aber...

Du kannst aber gerne �ber das Forum Newskommentare schreiben...

Du hast bereits f�r diesen Kommentar angestimmt...

;-)

Top